Exemple : Configurer la surveillance IP sur la gamme SRX5000
Cet exemple montre comment surveiller des pare-feu SRX Series avec le cluster de châssis activé.
Conditions préalables
Vous avez besoin de deux passerelles de services SRX5800 avec des configurations matérielles identiques, une pare-feu SRX Series et une Commutateur Ethernet EX8208.
Connectez physiquement les deux appareils SRX5800 (dos à dos pour les ports de structure et de contrôle) et assurez-vous qu’il s’agit des mêmes modèles. Configurez/ajoutez ces deux périphériques dans un cluster.
Présentation
La surveillance des adresses IP vérifie l’accessibilité de bout en bout de l’adresse IP configurée et permet à un groupe de redondance de basculer automatiquement lorsqu’il n’est pas accessible via la liaison enfant de l’interface Ethernet redondante (appelée reth). Des groupes de redondance sur les deux équipements d’un cluster peuvent être configurés pour surveiller des adresses IP spécifiques afin de déterminer si un équipement en amont du réseau est accessible.
Lorsque vous configurez plusieurs adresses IP sur l’interface reth dans une configuration de cluster de châssis, la surveillance IP utilise la première adresse IP de la liste des adresses IP configurées pour cette interface reth sur le nœud principal et la première adresse IP de la liste des adresses IP secondaires configurées pour cette interface reth sur le nœud de secours. La première adresse IP est celle avec le plus petit préfixe (masque de réseau).
Cet exemple montre comment configurer la surveillance IP sur un pare-feu SRX Series.
La surveillance IP n’est pas prise en charge sur une carte NP-IOC.
La surveillance IP ne prend pas en charge l’état MIC en ligne/hors ligne sur les pare-feu SRX Series.
Topologie
Figure 1 Affiche la topologie utilisée dans cet exemple.
Dans cet exemple, deux périphériques SRX5800 d’un cluster de châssis sont connectés à un périphérique SRX1500 via un Commutateur Ethernet EX8208. L’exemple montre comment les groupes de redondance peuvent être configurés pour surveiller les principales ressources en amont accessibles via des interfaces Ethernet redondantes sur l’un ou l’autre des nœuds d’un cluster.
Configuration
- Configuration rapide de l’interface de ligne de commande
- configuration de la surveillance IP sur le pare-feu SRX Series
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set chassis cluster reth-count 1 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 200 set chassis cluster redundancy-group 1 node 1 priority 199 set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 set chassis cluster redundancy-group 1 ip-monitoring global-threshold 80 set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3 set chassis cluster redundancy-group 1 ip-monitoring retry-count 10 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 weight 80 set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 interface reth0.0 secondary-ip-address 192.0.2.2 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-4/0/1 gigether-options redundant-parent reth0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.2.1/24 set routing-options static route 192.0.0.1/32 next-hop 192.0.2.3
configuration de la surveillance IP sur le pare-feu SRX Series
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur CLI Junos OS .
Pour configurer la surveillance IP sur un pare-feu SRX Series :
Spécifiez le nombre d’interfaces Ethernet redondantes.
{primary:node0}[edit] user@host# set chassis cluster reth-count 1Spécifiez la priorité d’un groupe de redondance pour la primauté sur chaque nœud du cluster. Le nombre le plus élevé est prioritaire.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 0 node 0 priority 254 user@host# set chassis cluster redundancy-group 0 node 1 priority 1 user@host# set chassis cluster redundancy-group 1 node 0 priority 200 user@host# set chassis cluster redundancy-group 1 node 1 priority 199Configurez les interfaces Ethernet redondantes sur le groupe de redondance 1.
{primary:node0}[edit] user@host# set interfaces reth0 redundant-ether-options redundancy-group 1 user@host# set interfaces reth0 unit 0 family inet address 192.0.2.1/24Affectez des interfaces enfants pour les interfaces Ethernet redondantes des noeuds 0 et 1.
{primary:node0}[edit] user@host# set interfaces ge-0/0/1 gigether-options redundant-parent reth0 user@host# set interfaces ge-4/0/1 gigether-options redundant-parent reth0Configurez la route statique vers l’adresse IP à surveiller.
{primary:node0}[edit] user@host# set routing-options static route 192.0.0.1/32 next-hop 192.0.2.3Configurez la surveillance IP sous le groupe de redondance 1 avec le poids global et le seuil global.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring global-weight 255 user@host# set chassis cluster redundancy-group 1 ip-monitoring global-threshold 80Spécifiez l’intervalle de nouvelle tentative.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-interval 3Spécifiez le nombre de nouvelles tentatives.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring retry-count 10Attribuez une pondération à l’adresse IP à surveiller et configurez une adresse IP secondaire qui sera utilisée pour envoyer des paquets ICMP à partir du nœud secondaire afin de suivre l’adresse IP surveillée.
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 weight 80 user@host# set chassis cluster redundancy-group 1 ip-monitoring family inet 192.0.0.1 interface reth0.0 secondary-ip-address 192.0.2.2REMARQUE :L’adresse 192.0.2.1/24IP Ethernet redondante (reth0), , est utilisée pour envoyer des paquets ICMP à partir du nœud 0 afin de vérifier l’accessibilité de l’adresse IP surveillée.
L’adresse IP secondaire, 192.0.2.2, doit appartenir au même réseau que l’adresse IP reth0.
L’adresse IP secondaire est utilisée pour envoyer des paquets ICMP à partir du nœud 1 afin de vérifier l’accessibilité de l’IP surveillée.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’état du cluster de châssis avant le basculement
- Vérification de l’état de la surveillance IP du cluster de châssis avant le basculement
- Vérification de l’état du cluster de châssis après le basculement
- Vérification de l’état de la surveillance IP du cluster de châssis après le basculement
Vérification de l’état du cluster de châssis avant le basculement
But
Vérifiez l’état du cluster de châssis, l’état de basculement et les informations du groupe de redondance avant le basculement.
Action
À partir du mode opérationnel, entrez la show chassis cluster status commande.
show chassis cluster status Cluster ID: 11 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 0 node0 254 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 0 node0 200 primary no no node1 199 secondary no no
Vérification de l’état de la surveillance IP du cluster de châssis avant le basculement
But
Vérifiez l’état de l’adresse IP surveillée à partir des deux nœuds et le nombre de basculements pour les deux nœuds avant le basculement.
Action
À partir du mode opérationnel, entrez la show chassis cluster ip-monitoring status redundancy-group 1 commande.
show chassis cluster ip-monitoring status redundancy-group 1 node0: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a node1: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a
Vérification de l’état du cluster de châssis après le basculement
But
Vérifiez l’état du cluster de châssis, l’état de basculement et les informations du groupe de redondance après le basculement.
Si l’adresse IP n’est pas accessible, la sortie suivante s’affiche.
Action
À partir du mode opérationnel, entrez la show chassis cluster status commande.
show chassis cluster status Cluster ID: 11 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 0 node0 254 primary no no node1 1 secondary no no Redundancy group: 1 , Failover count: 1 node0 0 secondary no no node1 199 primary no no
Vérification de l’état de la surveillance IP du cluster de châssis après le basculement
But
Vérifiez l’état de l’adresse IP surveillée à partir des deux nœuds et le nombre de basculements pour les deux nœuds après le basculement.
Action
À partir du mode opérationnel, entrez la show chassis cluster ip-monitoring status redundancy-group 1 commande.
show chassis cluster ip-monitoring status redundancy-group 1 node0: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 unreachable 1 unknown node1: -------------------------------------------------------------------------- Redundancy group: 1 IP address Status Failure count Reason 192.0.0.1 reachable 0 n/a